Klikając „Akceptuj wszystkie pliki cookie”, zgadzasz się na przechowywanie plików cookie na swoim urządzeniu w celu ułatwienia nawigacji po stronie, analizy korzystania ze strony oraz wspierania naszych działań marketingowych. Zobacz naszą Politykę prywatności, aby uzyskać więcej informacji.
PreferencjeOdrzućAkceptuj
Powrót na stronę główną bloga
Artykuł

Cyfrowi strażnicy toczą nierówną walkę

Autor/ka
Davidson Consulting
facebook-icon
linkedin-icon

Eksperci ds. zarządzania kryzysowego i ciągłości działania

Sygnalista, który ujawnił przepływy 200 miliardów euro podejrzanych rosyjskich pieniędzy przez Danske Bank, otrzymywał groźby śmierci i doświadczył nielegalnego ujawnienia swojej tożsamości.
Rosyjska balistyczna rakieta hiperdźwiękowa "Oriesznik" na wozie transportowym.

Odkrycia Howarda Wilkinsona doprowadziły do największego skandalu związanego z praniem pieniędzy w historii Europy i 2 miliardów dolarów grzywien. Jego przypadek ilustruje zarówno kluczowe znaczenie informacji poufnych w wykrywaniu zagrożeń bezpieczeństwa, jak i osobiste ryzyko, jakie ponoszą ci, którzy ujawniają nieprawidłowości organizacyjne w całej Unii Europejskiej.

Podczas gdy naruszenia cyberbezpieczeństwa gwałtownie rosną w całej Europie, a 83% organizacji zgłasza ataki wewnętrzne w 2024 roku, rola sygnalistów w wykrywaniu zagrożeń nigdy nie była tak kluczowa. Ale mimo nowych unijnych mechanizmów ochrony, które weszły w życie w 2021 roku, nadal istnieją znaczące luki w zabezpieczaniu tych, którzy ujawniają luki bezpieczeństwa i nieprawidłowości organizacyjne, szczególnie w Polsce i innych krajach Europy Wschodniej.

Spóźnione przebudzenie Polski ws. ochrony sygnalistów

Polska stała się ostatnim krajem UE, który wdrożył ochronę sygnalistów, uchwalając ustawę o ochronie sygnalistów 14 czerwca 2024 roku. Opóźnienie kosztowało drogo: 7 milionów euro ryczałtowej kary plus 40 000 euro dziennych grzywien od Europejskiego Trybunału Sprawiedliwości za przekroczenie terminu z grudnia 2021 roku o prawie trzy lata.

Polskie prawo, które weszło w życie we wrześniu 2024 roku, faktycznie przekracza minimalne wymagania UE, obejmując korupcję i naruszenia praw konstytucyjnych obok naruszeń cyberbezpieczeństwa. Organizacje zatrudniające 50 lub więcej pracowników muszą teraz ustanowić wewnętrzne kanały zgłaszania, zapewniać informację zwrotną w ciągu trzech miesięcy i grożą im kary kryminalne do trzech lat więzienia za zemstę na sygnalistach.

"Nie potrzebujemy więcej sygnalistów, musimy po prostu lepiej słuchać tych, którzy już są" - argumentuje Wim Vandekerckhove, profesor etyki biznesu w EDHEC Business School, który pomagał opracowywać międzynarodowe standardy dla systemów sygnalizowania. Jego obserwacja podkreśla uporczywy problem: podczas gdy ramy prawne się rozszerzyły, kultury organizacyjne często pozostają wrogie wobec wewnętrznych krytyków.

Ocena Komisji Europejskiej z lipca 2024 roku wykazała, że 25 z 27 państw członkowskich UE nadal wymaga pilnych poprawek, aby spełnić minimalne standardy ochrony. Tylko 12 krajów odpowiednio obejmuje naruszenia cyberbezpieczeństwa, a zaledwie 11 gwarantuje pełne odszkodowanie dla ofiar zemsty.

Gdy osoby wewnętrzne ujawniają luki cybernetyczne

Statystyki podkreślają kluczową rolę, jaką odgrywają osoby wewnętrzne w obronie cyberbezpieczeństwa. Tylko 33% naruszeń danych jest wykrywanych przez wewnętrzne zespoły bezpieczeństwa, zgodnie z analizą IBM z 2024 roku obejmującą ponad 600 organizacji. Tymczasem 40% naruszeń jest identyfikowanych przez strony zewnętrzne, często po wystąpieniu znaczących szkód.

Ujawnienie przez Christophera Wylie działań Cambridge Analytica w zakresie zbierania danych osobowych 87 milionów użytkowników Facebooka pokazuje, jak wiedza poufna może ujawnić systemowe awarie bezpieczeństwa dotykające milionów ludzi. Ujawnienia brytyjsko-kanadyjskiego badacza z 2018 roku doprowadziły do upadku firmy i miliardów kar regulacyjnych, chociaż Wylie spotkał się z osobistą zemstą, w tym zawieszeniem kont w mediach społecznościowych.

W Szwecji dr Karl-Henrik Grinnemo i trzech kolegów ujawnili oszustwa w badaniach medycznych w prestiżowym Instytucie Karolinska, obejmujące sfałszowane zapisy cyfrowe i procedury eksperymentalne, które zabiły kilku pacjentów. Początkowo grożono im zwolnieniem, ale sygnaliści zostali ostatecznie oczyszczeni z zarzutów, gdy główny badacz został skazany na więzienie w 2023 roku.

Jan Benýšek, szef departamentu upadłościowego czeskiego Ministerstwa Sprawiedliwości, zgłosił korupcję i awarie bezpieczeństwa w obsłudze wrażliwych danych prawnych w 2023 roku. Jego stanowisko zostało zlikwidowane przez "reorganizację", ale później przywrócone po presji publicznej. Przypadek ten podkreśla, jak zemsta często następuje przez manewry administracyjne, które omijają ochronę prawną, a mimo przywrócenia Benýška na stanowisko, nie wprowadzono systemowych zmian zapobiegających podobnym sytuacjom w przyszłości.

Rosnące koszty opóźnionego wykrywania

Europejskie organizacje zapłaciły wysoką cenę za awarie bezpieczeństwa w 2024 roku. Polskie podmioty stanęły w obliczu rekordowych kar RODO, w tym grzywny 1,08 miliona euro dla firmy energetycznej Fortum za nieodpowiednie środki bezpieczeństwa, które umożliwiły nieautoryzowane kopiowanie danych. mBank otrzymał karę 970 000 euro za niepowiadomienie klientów o naruszeniu danych w odpowiednim czasie.

Te przypadki często zaczynają się od zgłoszeń pracowników lub zewnętrznych obserwatorów. Naruszenie w Fortum zostało po raz pierwszy odkryte przez użytkowników internetu, którzy powiadomili firmę, co pokazuje, jak zewnętrzne sygnalizowanie uzupełnia systemy wewnętrzne.

Badania IBM pokazują, że organizacje wykrywające naruszenia w ciągu 200 dni ponoszą średnie koszty 3,93 miliona dolarów, w porównaniu z 4,95 miliona dolarów przy dłuższych czasach wykrywania - różnica 23%, która może decydować o przetrwaniu firmy. Organizacje wdrażające zaawansowaną sztuczną inteligencję i automatyzację widzą skrócenie cyklu życia naruszeń o 108 dni i redukcję kosztów średnio o 2,22 miliona dolarów.

Jednak programy zagrożeń wewnętrznych pozostają nieadekwatne. Pomimo że 76% organizacji wykrywa zwiększoną aktywność zagrożeń wewnętrznych w ciągu pięciu lat, tylko 29% czuje się w pełni przygotowanych do radzenia sobie z tymi ryzykami, zgodnie z badaniem Cybersecurity Insiders z 2024 roku wśród specjalistów ds. bezpieczeństwa.

Ochrona prawna a rzeczywistość praktyczna

Dyrektywa UE o ochronie sygnalistów 2019/1937 ustanowiła kompleksową ochronę obejmującą "bezpieczeństwo systemów sieciowych i informacyjnych" obok przestępstw finansowych i naruszeń środowiskowych. Organizacje muszą zapewnić pisemne potwierdzenie w ciągu siedmiu dni od otrzymania zgłoszeń i istotną informację zwrotną w ciągu trzech miesięcy, zachowując jednocześnie ścisłą ochronę poufności. Jednak dyrektywa nie obejmuje wszystkich obszarów - naruszenia w sferze prawa pracy, dyskryminacji czy molestowania mogą pozostać poza zakresem ochrony, jeśli państwa członkowskie nie zdecydują się na rozszerzenie przepisów.

Jednak implementacja różni się dramatycznie między państwami członkowskimi. Dania przekroczyła wymagania, akceptując anonimowe zgłoszenia i ustanawiając dedykowane organy egzekwowania prawa. Irlandia stworzyła silne mechanizmy kompensacji, podczas gdy Niemcy spotkały się z krytyką za niewystarczające wytyczne proceduralne.

Implementacja Polski odzwierciedla te szersze napięcia. Podczas gdy prawo obejmuje incydenty cyberbezpieczeństwa i przewiduje kary kryminalne za zemstę, wyklucza naruszenia prawa pracy, które związki zawodowe uważały za niezbędne dla ochrony pracowników. Ustawodawstwo ogranicza również opcje anonimowego zgłaszania, które eksperci cyberbezpieczeństwa uważają za kluczowe dla wykrywania zagrożeń wewnętrznych.

Simon Gerdemann, prawnik z Uniwersytetu w Getyndze badający prawo UE dotyczące sygnalistów, opisał dyrektywę jako "najdalej idący akt prawny Unii Europejskiej w dziedzinie prawa sygnalistów do tej pory". Jednak jego badania ujawniają uporczywe luki w ochronie tych, którzy zgłaszają luki bezpieczeństwa, szczególnie w środowiskach cyfrowych, gdzie dowody mogą być łatwo usunięte lub zmanipulowane.

Regulacje cyberbezpieczeństwa tworzą nowe obowiązki raportowania

Konwergencja ochrony sygnalistów z regulacjami cyberbezpieczeństwa tworzy zarówno możliwości, jak i komplikacje. Dyrektywa NIS2, która weszła w pełne życie w październiku 2024 roku, wymaga od organizacji zgłaszania znaczących incydentów cybernetycznych w ciągu 24 godzin - znacznie krócej niż tradycyjne terminy informacji zwrotnej dla sygnalistów.

Tylko cztery kraje UE spełniły termin transpozycji NIS2, co skłoniło Komisję Europejską do wszczęcia postępowań w sprawie uchybienia zobowiązaniom przeciwko 23 państwom członkowskim w listopadzie 2024 roku. Dyrektywa obejmuje szacowane 160 000 organizacji w 18 kluczowych sektorach, tworząc ogromne nowe obowiązki raportowania.

Akt o Odporności Cybernetycznej, który wszedł w życie w grudniu 2024 roku, ustanawia obowiązkowe wymagania cyberbezpieczeństwa dla produktów połączonych i dorozumianą ochronę sygnalistów dla tych zgłaszających naruszenia bezpieczeństwa produktów. Wdrożenie aktu jest rozłożone w czasie: podstawowe przepisy dotyczące produktów cyfrowych zaczną obowiązywać od grudnia 2027 roku, podczas gdy niektóre wymogi techniczne będą wprowadzane stopniowo do 2030 roku, dając organizacjom czas na dostosowanie systemów zgodności i ustanowienie kompleksowych mechanizmów raportowania.

ENISA, unijna agencja cyberbezpieczeństwa, przeanalizowała ponad 11 000 incydentów w 2024 roku i stwierdziła, że administracja publiczna (19%), transport (11%) i finanse (9%) były najczęściej atakowane. Agencja podkreśliła, że skoordynowana reakcja na incydenty wymaga solidnych wewnętrznych mechanizmów raportowania, które uzupełniają powiadomienia regulacyjne.

Bariery kulturowe utrzymują się pomimo postępów prawnych

Pomimo ochrony prawnej, kulturowy opór wobec sygnalizowania pozostaje zakorzeniony w europejskich organizacjach. Sprawa czeskiego ministerstwa ilustruje, jak "restrukturyzacja organizacyjna" może obejść zakazy zemsty, podczas gdy skandal szwedzkich badań medycznych pokazuje, jak prestiż instytucjonalny może początkowo chronić sprawców przed odpowiedzialnością.

Marie Terracol, liderka ochrony sygnalistów w Transparency International, zauważa, że wiele organizacji nadal postrzega wewnętrznych krytyków jako zagrożenia, a nie aktywa. Projekt jej organizacji "Speak Up Europe" udokumentował liczne przypadki, w których ochrona prawna nie zapobiegła zniszczeniu kariery tych zgłaszających nieprawidłowości.

Sektor finansowy przedstawia szczególne wyzwania. Podczas gdy sprawa Danske Bank ostatecznie oczyszczenia sygnalistę Howarda Wilkinsona, jego doświadczenie - w tym ujawniona tożsamość i groźby od rosyjskich powiązań - pokazuje osobiste ryzyko, jakiemu stawiają czoła ci ujawniający transnarodowe awarie bezpieczeństwa. tym ujawniona tożsamość i groźby od rosyjskich powiązań - pokazuje osobiste ryzyko, jakiemu stawiają czoła ci ujawniający transnarodowe awarie bezpieczeństwa.

Badania akademików takich jak Marcia Miceli z Georgetown University pokazują, że zmienne sytuacyjne - kultura organizacyjna, wsparcie kierownictwa, mechanizmy raportowania - lepiej przewidują udane sygnalizowanie niż cechy indywidualne jak odwaga moralna czy tolerancja ryzyka.

Nowe trendy egzekwowania sygnalizują silniejszą odpowiedzialność

Ostatnie wydarzenia sugerują, że władze traktują sygnalizowanie cyberbezpieczeństwa poważniej. Raport zgodności Komisji Europejskiej z lipca 2024 roku nazwał konkretne kraje wymagające ulepszeń i groził dalszymi działaniami egzekwowania przeciwko niezgodnym implementacjom.

W Stanach Zjednoczonych skazanie byłego szefa bezpieczeństwa Ubera, Josepha Sullivana, za ukrycie naruszenia danych wywołało wstrząsy w szeregach wykonawczych. Sullivan stał się pierwszym dyrektorem ds. bezpieczeństwa, który stanął w obliczu zarzutów karnych za ukrycie naruszenia, otrzymując trzy lata w zawieszeniu za zapłacenie hakerom 100 000 dolarów przez fałszywy program bug bounty, aby ukryć naruszenie dotykające 57 milionów użytkowników.

Europejscy regulatorzy wykazują podobną determinację. Urząd Ochrony Danych Osobowych w Polsce wydał wiele znaczących grzywien RODO w 2024 roku, podczas gdy wzmacniają się mechanizmy współpracy transgranicznej w celu rozwiązywania incydentów obejmujących wiele jurysdykcji.

Integracja ochrony sygnalistów z ramami cyberbezpieczeństwa reprezentuje fundamentalną zmianę w kierunku uznania wiedzy poufnej jako krytycznego aktywa bezpieczeństwa, a nie potencjalnego zagrożenia.

Podsumowanie: Niedoskonałe tarcze na cyfrowym polu bitwy

Europejskie podejście do ochrony sygnalistów cyberbezpieczeństwa odzwierciedla szersze napięcia między suwerennością narodową a zagrożeniami transnarodowymi. Podczas gdy ramy prawne znacznie się rozszerzyły od 2019 roku, praktyczna implementacja pozostaje nierówna w państwach członkowskich i kulturach organizacyjnych.

Przypadki Howarda Wilkinsona, Christophera Wylie i Jana Benýška demonstrują zarówno potencjalny wpływ odkryć wewnętrznych, jak i osobiste koszty ponoszone przez tych, którzy przemówią. Ich doświadczenia ujawniają, że ochrona prawna, choć konieczna, jest niewystarczająca bez zmian kulturowych, które postrzegają wewnętrznych krytyków jako wartościowych współtwórców bezpieczeństwa organizacyjnego, a nie nielojalnych sprawiających kłopoty.

Gdy zagrożenia cybernetyczne nadal ewoluują, a obowiązki regulacyjne się rozszerzają, europejskie organizacje stają w obliczu rosnącej presji, aby ustanowić nie tylko zgodne z prawem systemy raportowania, ale rzeczywiście skuteczne mechanizmy wykrywania i rozwiązywania luk bezpieczeństwa, zanim staną się kosztownymi naruszeniami. Średnie oszczędności 2,22 miliona dolarów z wczesnego wykrywania przez kompleksowe systemy raportowania sugerują, że ochrona sygnalistów jest nie tylko etycznie konieczna, ale ekonomicznie niezbędna.

Sukces europejskiej strategii cyberbezpieczeństwa może ostatecznie zależeć nie od wyrafinowania jej obrony technicznej, ale od jej gotowości do słuchania tych wystarczająco odważnych, aby zabić alarm od wewnątrz.

Jeśli masz na sercu, tak jak my, kondycję swojej firmy, dobrze jest zadbać o zdrową komunikację i swodobę przekazywania informacji przez sygnalistów. Skorzystaj z naszej usługi - kliknij w link.

Najnowsze artykuły:

Wideo, którego nie powinno być. Grok, Tesla i wjazd prosto do NSA
Gdy meduzy zatrzymują reaktory. O ślepych punktach w zarządzaniu ryzykiem operacyjnym
Między strategią a promocją: polska cyberobrona w świetle zarządzania ryzykiem
LIPIEC 2024: Cyberataki nie znają granic. Dlaczego odporność organizacyjna musi zaczynać się od cyberbezpieczeństwa
Komunikacja kryzysowa - komunikacja EuroCert po ataku

Kategorie:

ICT Navigator
Geopolityka a biznes
Ochrona ludności
Bezpieczeństwo łańcucha dostaw
Zarządzanie kryzysowe
Incydenty
Testy
Szkolenia
Wydarzenia
Komunikacja kryzysowa
Audyt
Zarządzanie ryzykiem
Sygnaliści
Zgodność
Cyberbezpieczeństwo
Ciągłość działania

Oferta Davidson Consulting:

Business ContinuityZarządzanie ryzykiemCyberbezpieczeństwoRozmowy o ryzykuRaporty

Najnowsze artykuły

Wideo, którego nie powinno być. Grok, Tesla i wjazd prosto do NSA

Czasem największym zagrożeniem dla bezpieczeństwa nie jest obcy haker, tylko smartfon (albo Tesla) w rękach kogoś, kto lubi wrzucić coś śmiesznego do sieci
Czytaj dalej
Artykuł

Wideo, którego nie powinno być. Grok, Tesla i wjazd prosto do NSA

Cyberbezpieczeństwo
Zarządzanie ryzykiem
NSA Friendship Annex, incydent bezpieczeństwa NSA, wideo Grok Tesla, Grok unhinged mode, Elon Musk Grok AI, nagranie w strefie chronionej, naruszenie bezpieczeństwa obiektu wojskowego, US Cyber Command śledztwo, Tesla AI incydent, cyberbezpieczeństwo obiektów krytycznych, ochrona infrastruktury krytycznej, bezpieczeństwo fizyczne i cyfrowe, incydenty bezpieczeństwa fizycznego, wyciek informacji wrażliwych, NIS2 Polska, NIS2 UE, DORA cyberbezpieczeństwo, ochrona danych w sektorze publicznym, zagrożenia ze strony AI, ustawa o ochronie informacji niejawnych, przepisy bezpieczeństwa UE, AI Act UE, prawo o ochronie obiektów strategicznych, nagrywanie na terenie chronionym, prawo o mediach społecznościowych a bezpieczeństwo, regulacje bezpieczeństwa fizycznego, co to jest NSA Friendship Annex, Grok AI w trybie unhinged, czy można nagrywać w obiekcie chronionym, przykłady naruszeń bezpieczeństwa w social media, NIS2 a bezpieczeństwo fizyczne, AI i bezpieczeństwo narodowe, konsekwencje prawne nagrania w strefie zastrzeżonej, edukacja pracowników w sektorze wrażliwym, wpływ sztucznej inteligencji na bezpieczeństwo
Podmioty ważne i kluczowe
Platformy Cyfrowe
Technologia
Usługi ICT

Gdy meduzy zatrzymują reaktory. O ślepych punktach w zarządzaniu ryzykiem operacyjnym

Sierpniowy incydent w elektrowni jądrowej Gravelines we Francji stanowi fascynujący przykład tego, jak organizacje mogą być zaskakiwane przez zagrożenia, które teoretycznie powinny przewidzieć.
Czytaj dalej
Artykuł

Gdy meduzy zatrzymują reaktory. O ślepych punktach w zarządzaniu ryzykiem operacyjnym

Ciągłość działania
Komunikacja kryzysowa
Incydenty
Zarządzanie ryzykiem
zarządzanie ryzykiem, ciągłość działania, business continuity, ryzyko operacyjne, elektrownia jądrowa, Gravelines, identyfikacja zagrożeń, analiza ryzyka, BCM, compliance, ryzyka endogeniczne, zarządzanie kryzysowe, odporność organizacyjna, cyberbezpieczeństwo infrastruktury krytycznej, planowanie ciągłości, risk management, operational risk,
Podmioty ważne i kluczowe
Energetyka

Między strategią a promocją: polska cyberobrona w świetle zarządzania ryzykiem

Z głęboką estymą dla generała dywizji Karola Molendy, dowódcy Wojsk Obrony Cyberprzestrzeni, postanowiłam zweryfikować kluczowe twierdzenia generała z perspektywy ekspertki od zarządzania ryzykiem.
Czytaj dalej
Komentarz

Między strategią a promocją: polska cyberobrona w świetle zarządzania ryzykiem

Zarządzanie kryzysowe
Geopolityka a biznes
Ciągłość działania
Jasne, oto lista słów kluczowych SEO na podstawie podanego tekstu, w formacie po przecinku: cyberobrona Polski, cyberbezpieczeństwo Polska, cyberzagrożenia 2024-2025, gen. Karol Molenda, Wojska Obrony Cyberprzestrzeni, wojna cybernetyczna, konflikt cybernetyczny, CERT Polska raport 2024, ataki hakerskie Rosja, grupa APT28, sztuczna inteligencja w wojsku, zarządzanie ryzykiem w cyberbezpieczeństwie, ćwiczenia Locked Shields 2024, ABW cyberbezpieczeństwo, kampanie hybrydowe, polskie instytucje rządowe ataki, Centrum Implementacji Sztucznej Inteligencji, polski model językowy PLLUM, strategia cyberobrony, zagrożenia geopolityczne.
Przemysł zbrojeniowy
Podmioty ważne i kluczowe
Technologia

LIPIEC 2024: Cyberataki nie znają granic. Dlaczego odporność organizacyjna musi zaczynać się od cyberbezpieczeństwa

W ciągu jednego miesiąca celem cyberataków padły tak różnorodne organizacje jak: Disney, Virgin Media, AT&T, Formula1, Evolve Bank, BMW Hong Kong, HealthEquity, a także szpitale, uczelnie, rządy i instytucje finansowe na całym świecie.
Czytaj dalej
Artykuł

LIPIEC 2024: Cyberataki nie znają granic. Dlaczego odporność organizacyjna musi zaczynać się od cyberbezpieczeństwa

Cyberbezpieczeństwo
Ciągłość działania
cyberbezpieczeństwo 2025, cyberprzestępczość na świecie, koszty cyberataków, incydenty bezpieczeństwa, ataki bezplikowe, malware-free, phishing z użyciem AI, spear phishing, deepfake w cyberatakach, bezpieczeństwo IT, czynnik ludzki w cyberbezpieczeństwie, błędy użytkowników, inżynieria społeczna, cyberataki w sektorze zdrowia, ataki na sektor produkcyjny, atak zero-day Microsoft SharePoint, brak planu reagowania na incydenty, testy odpornościowe IT, szkolenia z cyberhigieny, nieaktualne systemy IT, cyberbezpieczeństwo pracowników, EDR, XDR, analiza zagrożeń w czasie rzeczywistym, zarządzanie ciągłością działania, Business Continuity Management, strategia bezpieczeństwa organizacji, bezpieczeństwo IT OT AI, zgodność z DORA, zgodność z NIS2, AI Act a bezpieczeństwo, ubezpieczenia cyber, odporność organizacyjna, edukacja cyber, zarządzanie ryzykiem IT, kultura bezpieczeństwa w firmie, cyberbezpieczeństwo dla zarządów, cyberochrona w łańcuchu dostaw, audyty cyberbezpieczeństwa, cyberzagrożenia 2025
Ochrona zdrowia
Podmioty ważne i kluczowe
Administracja publiczna
Bankowość i rynki finansowe
E-commerce
Przejdź do wszystkich wpisów